Technologiczne polowanie na czarownice

Technologiczne polowanie
na czarownice
Aleksandra Stępniewska
O pobieraniu baz danych w ramach ścigania
udziału w grach hazardowych organizowanych
przez internet.
19 stycznia 2015 r. Alexandre Dreyfus, dyrektor generalny Global Poker Index, wezwał za pośrednictwem
Twittera polskie Ministerstwo Finansów do zaniechania
„kradzieży” danych gromadzonych przez Hendon Mob,
pod rygorem wytoczenia przeciwko Ministerstwu powództwa w zakresie nieuprawnionego wykorzystania
bazy danych. Hendon Mob to strona internetowa, która gromadzi dane dotyczące uczestników gier hazardowych on-line. Jak oświadczył Alexandre Dreyfus, już
pod koniec 2014 r. Hendon Mob wykryło skierowaną
w kierunku strony i jej baz danych aktywność botów,
których źródłem miał być serwer polskiego Ministerstwa Finansów posługującego się domeną mf.gov.pl.
Tłem dla tej technologicznej batalii mogła być zapowiedziana przez Ministerstwo walka z uczestnikami gier
losowych i zakładów wzajemnych organizowanych poza
terytorium Polski za pośrednictwem internetu1. Baza
danych, jaką tworzy i udostępnia Hendon Mob, może
więc stanowić atrakcyjne źródło informacji na temat
potencjalnych sprawców przestępstwa karnoskarbowego polegającego na uczestniczeniu w grach hazardowych organizowanych za granicą (art. 107 § 2 Kodeksu karnego skarbowego). Bazy danych podlegają
tymczasem ochronie ustanowionej dyrektywą Parlamentu Europejskiego i Rady 96/6/WE z 11 marca
1996 r. w sprawie ochrony prawnej baz danych, implementowanej do polskiego porządku prawnego na
mocy ustawy z 27 lipca 2001 r. o ochronie baz danych.
Oba akty tworzą ochronny reżim prawny dla zbiorów
m.in. danych, gromadzonych według określonej systematyki lub metody, indywidualnie dostępnych w jakikolwiek sposób, w tym środkami elektronicznymi, wymagających istotnego (jakościowo lub ilościowo) nakładu inwestycyjnego w celu sporządzenia, weryfikacji lub
prezentacji ich zawartości. Dyrektywa przyznaje więc
twórcy bazy danych prawo do przeciwdziałania nieuprawnionemu pobieraniu lub wykorzystaniu jej części
lub całości. Nadto art. 5 ust. 5 dyrektywy wskazuje, że
powinno być zabronione także powtarzające się i systematyczne pobieranie i wykorzystanie nieznacznych
części bazy danych, jeżeli sprzeciwia się to normalnemu
korzystaniu z bazy lub godzi w słuszne interesy twórcy.
1
Komunikat dla uczestników gier hazardowych w sieci z 18
listopada 2014 r.
Jednocześnie dyrektywa ustanawia wyjątki od przewidzianej ochrony. Między innymi jej art. 9 lit. c dał możliwość wprowadzenia wyjątku w ochronie, gdy pobieranie i wykorzystanie w całości lub w części baz danych
dostępnych publicznie ma następować dla celów bezpieczeństwa wewnętrznego lub postępowania administracyjnego lub sądowego. Polska ustawa implementuje
to rozwiązanie w sposób dosłowny w art. 8 ust. 3, nie
określając jednak żadnych ram postępowania w tym
zakresie. Powstała próżnia proceduralna rodzi ryzyka
dowolności i braku kontroli nad działaniami organów
władz publicznych w zakresie pobierania i korzystania
z baz danych. Kwestia ta staje się tym bardziej doniosła,
że bazy danych, o jakich tu mowa, mogą także zawierać
dane osobowe, a postępujący rozwój technologii poszerza wachlarz narzędzi służących kontroli społeczeństwa. Tocząca się dyskusja na temat ochrony prywatności, w tym ochrony danych osobowych, zyskuje
obecnie realny kształt w formie nowych regulacji unijnych dotyczących ochrony danych osobowych2 i to
także w odniesieniu do ich przetwarzania przez organy
władzy publicznej w celach m.in. ścigania przestępstw3.
W aktualnym stanie rzeczy art. 8 ust. 3 ustawy
o ochronie baz danych nie powinien stanowić podstawy dla nieograniczonego i nie podlegającego kontroli
działania organów władzy publicznej. To wyjątkowe
uprawnienie powinno być realizowane w granicach
przepisów prawa. Należy mieć tu na względzie m.in.
art. 113 § 1 k.k.s., który przyznaje urzędowi celnemu
w ramach prowadzonych postępowań uprawnienia
przewidziane w Kodeksie postępowania karnego, m.in.
możliwość zwrócenia się do organu ścigania innego
państwa o zatrzymanie i zabezpieczenie dowodu oraz
jego wydanie.
W tym miejscu rodzi się pytanie, dlaczego organy władzy publicznej uciekają się do metod kamuflażu umożliwianych przez boty, które w ostatnim czasie kojarzą
się w dużej mierze z praktykami dalekimi od legalnych.
Ogólnie rzecz ujmując, boty to programy komputero2
Wniosek Rozporządzenie Parlamentu Europejskiego i Rady
w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich
danych (ogólne rozporządzenie o ochronie danych)
3
Wniosek Dyrektywa Parlamentu Europejskiego i Rady w
sprawie ochrony osób fizycznych w zakresie przetwarzania
danych osobowych przez właściwe organy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich
sprawie, wykrywania ich i ścigania albo wykonywania kar
kryminalnych oraz swobodnego przepływu tych danych
we, tworzone i wykorzystywane do realizacji oznaczonych czynności w zastępstwie człowieka, a niekiedy
w celu udawania ludzkiego zachowania. Boty znajdują
zastosowanie w szeregu dziedzin życia społecznego
i ekonomicznego. Jednocześnie identyfikowane są jako
jedno z najbardziej złożonych i popularnych narzędzi
przestępczości internetowej, a jednym z ich zadań może być kradzież danych4. Z drugiej jednak strony należy
przyznać, że w ten sposób organy władzy publicznej
podążają za nowoczesnością i wpisują się w kontekst
społeczeństwa zinformatyzowanego, posługującego się
nowymi technologiami. Nie należy jednak zapominać,
że organy władzy publicznej powinny działać na podstawie prawa i w granicach prawa, a więc transparentnie i za pomocą środków, w jakie prawo je wyposaża.
Ostatecznie powstaje kwestia oceny podstawy podejmowania omawianych działań. Konkretnie chodzi tu
o przepisy zakazujące na terytorium Polski udziału
w grach hazardowych organizowanych za granicą i penalizujące udział w takich grach (art. 29a ustawy
o grach hazardowych, art. 107 § 2 k.k.s.) w kontekście
unijnych swobód przedsiębiorczości oraz świadczenia
usług (49 i 56 Traktatu o Funkcjonowaniu Unii Europejskiej), którym zgodnie z orzecznictwem Trybunału
Sprawiedliwości UE podlega także świadczenie drogą
elektroniczną usług w zakresie gier hazardowych
(sprawa C-234/01, Gambelli5).
4
5
http://pl.norton.com/botnet
Wyrok Trybunału Sprawiedliwości z 6 listopada 2003 r.
Zgodnie z art. 52 TFUE obie swobody mogą podlegać
ograniczeniom, jeżeli jest to uzasadnione względami
porządku publicznego, bezpieczeństwa publicznego
oraz zdrowia publicznego. Nadto Trybunał Sprawiedliwości UE, z uwagi na szczególny charakter usług
w zakresie gier hazardowych, dopuścił dodatkowe
ograniczenia wprowadzane z uwagi na nadrzędne
względy interesu ogólnego takie jak ochrona konsumentów lub zapobieganie oszustwom6. Wprowadzane
ograniczenia powinny być odpowiednie, by zagwarantować realizację zamierzonych celów ochronnych, ale
nie powinny wykraczać poza to, co jest konieczne do
ich osiągnięcia. W tym kontekście trudno będzie bronić
tezy, że ograniczenia swobody świadczenia usług, jakie
wynikają bezpośrednio dla usługobiorcy ze wspominanych powyżej zakazów, są uzasadnione i proporcjonalne. Wątpliwe jest bowiem, aby dla ochrony zdrowia
obywateli, przeciwdziałania uzależnieniom oraz ochrony graczy przed oszustwami uzasadnione było grożenie
dotkliwą karą (nawet do 16 128 000 zł grzywny lub
3 lat kary pozbawienia wolności).
6
Gambelli, pkt. 65-67.